资讯安全

新普科技资讯部制定资讯系统管理程序，其适用范围为使用公司电脑资讯系统与企业网路资源均适用之，希望藉由此程序之制定与同仁对制度的落实来确保公司资讯资料之正确性及安全性，提供管理资讯并协助各单位资料之处理，管理程序主要控管内容包含下列事项 :

• 电脑系统资源之使用与取消：规范同仁在工作上所需使用之电脑系统资源的使用控管要求，包含PC/NB的使用申请、电脑软体安装、公务NB携出厂外之上网功能控管以及离职人员之电脑资源使用权及帐号之取消等。

• 资料备份与灾害复原：规范资讯资料备份作业之控管要求，依照定义好之备份周期，于备份软体设定之排程，将伺服器资料档案及资料库资料备份至磁带或异地硬碟柜。备份软体备份工作成功或失败会发出通知Email，管理人员需即时处理与解决备份异常，确保备份正确完成。当灾害发生时需进行资料复原作业，并订定相关单位之权责以及要求管理人员需定期(每半年且不定时)实施灾害复原测试。

• 电脑病毒管理：规范公司针对电脑病毒之防范作法，包含所属之电脑皆须安装公司授权之防毒软体并定期更新病毒码、需透过Windows Update伺服器定期进行系统与安全性更新、透过Proxy和防火墙控管Internet行为。

• 电子邮件管理：规范电子邮件之使用规则，包含收件人数管理、电子邮件单封容量大小、私人Email收发管理和外部收发公司邮件等管理规则。

• 上网使用管理：规范上网之使用需经过申请，且禁止浏览与游戏、购物、音频、赌博、社群网站、违法或暴力、广告、成人资讯、免费网路资源、以争议与来源不明之网站和特别列管之网站等非公务性质网站。

• 远端存取管理：规范公司员工若因出差或其他公务需要由异地经外部网路连回公司使用内部服务，需透过 VPN 以确保安全。VPN 使用权限须经过申请并搭配个人行动装置使用 OTP 双因认证，且资讯部会定期的检视 VPN 使用情况，经确认后关闭非必要的权限。

• 资讯机房管理：规范资讯机房应设置门禁管制、针对未具资讯机房进出权限人员之控管要求，以及对机房温湿度、UPS不断电系统、机房环境与设备运作状态检查等日常管理作业，并有机房环控系统监控与记录环境与设备状态，自动发送异常告警通知管理员进行即时处置。

• 资讯安全会议：每月召开资讯安全会议，核实与检讨资安政策落实状况与资讯安全议题。

本公司之新进人员于入职时会进行基本的资讯安全教育训练。另对于在职的人员亦会须透过公司内部入口网站或邮件不定期的进行资讯安全的宣导，宣导包含邮件使用安全、上网使用安全、与远端安全作业等。
 

通过ISO 27001资讯安全管理系统国际验证  

新普科技为提升资讯安全防护及强化系统作业能力，长期以来依据资安政策进行管理，降低资讯安全事件所带来之冲击，为因应快速发展多元资讯系统，公司于2023年导入ISO 27001资讯安全管理系统，日前已通过 ISO 国际标准之认证(SGS)，有效期间为2023年12月9日至2026年12月9日，代表新普在资讯安全管理的强度与国际接轨，以保障公司与客户之权益。

本次验证的范围包含新普科技之资讯服务基础建设及资讯管理作业流程，此次验证，不仅资安防护再升级，更显新普集团在资讯安全管理更上层楼，我们深知后续仍需落实运作执行，才是确保资讯安全的根本工作。

注: ISO/IEC 27001 资讯安全管理系统（Information Security Management System, ISMS）是一套国际通用的资讯安全管理工具和制度，明确规范包括资讯安全管理、强化资安防护、保护资讯资产等建置标准，为目前国际上最广泛采用之资讯安全管理制度标准规范。